Майкл Олтфилт (Michael Altfield) [[https://tech.michaelaltfield.net/2020/01/02/buskill-laptop-k.../ предложил]] простое и эффективное устройство для блокирования доступа к конфиденциальным данным в случае кражи ноутбука с активным пользовательским сеансом. Суть метода в контроле за подключением к ноутбуку определённого USB-устройства, прикреплённого к владельцу (аналогично в качестве признака можно использовать достижимость Bluetooth смартфона владельца или метку RFID).
В время работы в общественном месте или парке на ноутбуке активируется специальное правило UDEV, которое контролирует активность подключения к USB-устройству. В случае отсоединения USB-устройства (когда злоумышленник выхватил ноутбук) UDEV-правило выполняет скрипт для завершения сеанса, удаления каталога с конфиденциальными данными, шифрования данных или отмонтирования шифрованного раздела.Пример udev-правила для блокировки экрана при извлечении любого USB-устройства:
sudo vi /etc/udev/rules.d/busKill.rules
ACTION=="remove", SUBSYSTEM=="usb", RUN+="DISPLAY=:0 xscreensaver-command -lock"
sudo udevadm control --reload
Для привязки к определённому USB-устройству необходимо узнать его идентификатор (нужно подключить устройство, запустить udevadm monitor и извлечь устройство):
udevadm monitor --environment --udevACTION=remove
ID_MODEL="Micromax_A74"
SUBSYSTEM=usbМодифицируем правило /etc/udev/rules.d/busKill.rules
ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="DISPLAY=:0 xscreensaver-command -lock"
[[IMG /opennews/pics_base/0_1578040582.jpg]]
Как вариант предложено дополнительно использовать [[https://www.amazon.com/gp/product/B0759FKCK8/ref=as_li_qf_as... магнитный разъединитель]] USB-кабеля, подключённый до брелока с ключами шифрования данных. Далее брелок подсоединяется цепочкой к одежде или руке владельца. При выдёргивании ноутбука во время работы брелок с ключами шифрования остаётся у владельца, а UDEV-скрипт экстренно выключает устройство.
ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="shutdown -h now"Активировать правило блокировки можно автоматически при подключении USB-устройства, добавив UDEV-правило с обработчиком ACTION=="bind"
ACTION=="bind", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="/root/killcord_on.sh"
/root/killcord_on.sh
cat << EOF | tee /etc/udev/rules.d/busKill.rules
ACTION=="remove", SUBSYSTEM=="usb", ENV{ID_MODEL}=="Micromax_A74", RUN+="shutdown -h now"
EOF
udevadm control --reload
URL: https://tech.michaelaltfield.net/2020/01/02/buskill-laptop-k.../
Обсуждается: http://www.opennet.me/tips/info/3125.shtml
Кому это надо?
я просто видел подобное - никому это нафиг не нужно.
Старый добрый Паяльник в одном месте все откроет...
Это об обычных ворах/грабителях, при чём тут паяльник?
Да нахрена мне вообще твоя коллекция cp ? Чтоб пойти не на два года условно, а на пяток с разрывом очка, если с твоим помойным ноутом примут? Я на взрослых др..чу!А ноут твой продам даже не открывая. (нет, покупателю тоже нахрен не сдалась, он винду себе поставил сразу)
> Чтоб пойти не на два года условно, а на пяток с разрывом очкаЭто вот так вот во Флориде можно демократично пострадать?
// хоть один заглянул в резюме по ссылке, ага
А некоторые люди работают с весьма чувствительной информацией. И внедряют в свою жизнь культуру безопасности.
они обычно не работают с такой инфой в общественных местах, так поступать могут только альтернативно одаренные
> Кому это надо?
> я просто видел подобное - никому это нафиг не нужно.
> Старый добрый Паяльник в одном месте все откроет...Не откроет если большая часть длинного пароля хранится на бумажке, которую ты сжег\съел.
И ты пожалеешь о своих вкусовых пристрастиях, когда у дознавателей кончатся бутылки и они перейдут к черенкам от лопат.
Как будто вас после раскрытия ваших коллекций цп погладят по головке. Вас так и так посадят - либо за отказ содействия, либо за то, что вы открыли. Из двух зол, как говорится...
Ни себе, ни людям! Что за народ пошел!
Ну зато паяльника попробует. В следующий раз не будет жрать, что не следует.
Например, Россу Ульбрихту.
вот ему-то ничего бы не помогло. его сначала нашли, потом установили за ним персональную слежку, потом выхватили ноут. Если бы они увидели у него такую фиговину, то сначала бы просто его вырубили ударом по голове или шокером, а потом и ничего выхватывать не надо. И опасаться исков не надо. Во-первых государевы люди при исполнении неподсудны. Во-вторых у обычных людей таких фиговин нет, и так видно, что с большой вероятностью их пациент. В-третьих, даже если бы заблокировал, можно было бы получить судебное предписание разблокировать и держать в сизо до тех пор, пока не разблокирует. В четвёртых, даже если бы разблокировал, и оказалось, что обознались, то ничего не стоит подкинуть что-нибудь, чтобы дать минимальный срок, но снять с себя любую ответственность за насилие.
Пожизненно в СИЗО держать, пока не умрёт?
именно так и делают. не по закону, а по постановлению судьи. либо пока не умрёт, либо пока доступ не предоставит.
Его приговорили к 2 пожизненным плюс 40 лет. Так зачем бы ему было предоставлять доступ?
Не предоставил доступ - это причина. А приговорили к 2 пожизненным плюс 40 лет - это следствие. Не надо путать.
А какая для него разница?
иллюзия безопасности залог спокойной жизни
> Кому это надо?Это надо, если в кафе нашёлся стритовый бегун-акробат, схвативший со столика чужой ноут за 200тыр и побежавший в сторону скупщика краденного.
В метро на эту тему висят агитки.
Против паяльника есть КвартираМавроди(tm) которую 4 часа вскрывали., что бедным ментам пришлось потом паспортт подбрасывать ....
Судя по всему чувак не в курсе про электронные ключи типа eTocken/RuTocken и прочих, коих легион...И да - закрытый ключ останется на токене ежель что...
Тут речь про автоматическое блокирование\шифрование на случай маски шоу.
Сам механизм шифрование выбираете как хотите, хоть свой рутокен.
pam_usb-ng
и придёт баба маня и протрет пыль на столе и отключит на минутку ентот кабель. и начнтся автоэпиляция на заднице у хозяина, когда он вернётся назад испив кофея
> и придёт баба маня и протрет пыль на столе и отключит на
> минутку ентот кабель. и начнтся автоэпиляция на заднице у хозяина, когда
> он вернётся назад испив кофеяХозяин - дебил, если пользуется подобными ключами и оставляет их без присмотра какой-то бабе мане. Ключ должен быть всегда с собой, иначе в чём его смысол? Ради удобства можно отмонтировать шифрованый раздел на ноуте и примонтировать его только при подключении ключа. Либо загружать систему в такой экстренный режим когда надо, а когда неудобно - загружаться в другом режиме.
> и придёт баба маня и протрет пыль на столе и отключит на
> минутку ентот кабель. и начнтся автоэпиляция на заднице у хозяина, когда
> он вернётся назад испив кофеяТак и было. Прихожу из сортира на рабочее место, а инженегр инсталлирует новый телефон на столе, вынув из комп-а ... та-да-аам! ... шнур network витую пару с консолями SSH в кластера.
Важное в Скрине запускается, конечно. Но сам подход. ))) Впрочем, их там магически по одному уходят некоторое время тому назад.
Проще простого!
xset dpms 60 80 80
xss-lock -n /usr/share/doc/xss-lock/dim-screen.sh -- slock
Какая-то странная многоходовочка с udev-правилами. udev-правило, которое создает udev-правило, которое создает udev-правило...
> Какая-то странная многоходовочка с udev-правилами. udev-правило, которое создает udev-правило,
> которое создает udev-правило...забавно что никто из пользователей "нового стандарта" не обратил внимания на DISPLAY=:0 - видимо, уже давно забыли, что это значит.
Сесурити у владельца супер-защищенного ноута - что надо!
Ты намекаешь на то, что любой с локалхоста может подключиться или на что?
ну да, то есть xauth у него выключен давно и надежно.любой nobody, видимо, может влезть ему в сессию. Удобно, чо. Но даже я при всем своем пофигизме к тому что внутри периметра, как-то нервничал бы с такого сетапа.
Может, у него не всем разрешено, а только
xhost +SI:localuser:root
> ну да, то есть xauth у него выключен давно и надежно.
> любой nobody, видимо, может влезть ему в сессию. Удобно, чо. Но даже
> я при всем своем пофигизме к тому что внутри периметра, как-то
> нервничал бы с такого сетапа.В статье про другие цели. Это когда никому не нужен со своей почтой и каким-то содержимым диска, а нужны ключи и пароли в продуктив для людей снаружи периметра. Для использования которых ещё понадобится время на развитие атаки. Для такого расклада может быть шифрован диск, а скрипт вызывает жёсткий poweroff, следом звонок в офис с сообщением о факте, аннулируют ключи-пароли и можно спокойно не торопиться.
Давно пользуюсь BLE-брелками, которые от батарейки работают годами. Не скахал бы, что они дешёвые (зато хорошие), но работают со всеми смартами от андроида 4.4. Могу отсыпать кому надо по цене производителя.
А поподробнее?
Что именно? В брелок зашивается (к сожалению, только своей проприетарью) нужный протокол (можно одновременно несколько), настраиваешь частоту и мощность пингов и маячишь себе сколько влезит. )
Можно на ключи повесить, на сумку, чемодан, и т.д. и т.п. С андроидом работает "из коробки".
как шьётся? по воздуху, или там JTAG/UART есть? а что за проприетарь? название или ссылку можно?
заранее спасибо! :)
По воздуху, специальной прогой с андроида. Ссылку нельзя потому что там всё равно закрытый доступ. Эти штуки на порядок лучше того что я находил на Али. Если есть желание обзавестись - go >> msk, есть несколько лишних.
А как они андроид шифруют?
> А как они андроид шифруют?что o_O
Кстати, вспомнил прогу: Beacon Set плюс.
Это каким надо быть дебилом, чтобы с такими ценными данными на ноуте по паркам разгуливать?
> Это каким надо быть дебилом, чтобы с такими ценными данными на ноуте
> по паркам разгуливать?Самое ценное, на ноуте приватные/закрытые по контракту данные заказчика.
У дебилов таких ноутов нет. А недебилы хорошо зарабатывают при помощи ноута. Поэтому рабочие инструменты дорогие, зарплата хорошая.
Я год наазад писал pam модуль по работе с rutocken и по такому принципу блокировал экран. Чувак не открыл мир.
Он открыл свою идею. А ты нет.
Да куда ему -если чел юзает рутокен-он юзает говно!Ну и на территории рф шифровать свои данные рутокеном надо быть полным ку-ку !